Privacyverklaring

SlimHuys.nl verwerkt persoonsgegevens om je de dienst te kunnen leveren. Hieronder lees je welke gegevens we verzamelen, waarom, met wie we ze delen, hoe lang we ze bewaren en welke rechten je hebt onder de Algemene Verordening Gegevensbescherming (AVG).

1. Verwerkingsverantwoordelijke

Verantwoordelijke voor de verwerking van je persoonsgegevens is:

Naam: SlimHuys.nl
Adres: Kroon 18, 5406 DJ Uden
KvK: 50535889
E-mail: info@slimhuys.nl (zet "Privacy" in de onderwerpregel voor AVG-verzoeken)

2. Welke gegevens we verwerken

Afhankelijk van hoe je SlimHuys gebruikt, verwerken we de volgende gegevens:

Account-gegevens: e-mailadres, voornaam, achternaam (optioneel), telefoonnummer (optioneel), taalvoorkeur, tijdzone.
Authenticatie: gehasht wachtwoord, MFA-secret (versleuteld), back-up-codes (gehasht), magic-link-tokens (gehasht).
Sessie- en beveiligingsdata: IP-adres, user-agent, sessie-cookies, login-tijdstippen, audit-log van gevoelige acties (wachtwoord-wijziging, MFA-aanpassing).
Verbruiksdata via P1: kwartier-aggregaten van afname en teruglevering uit je slimme meter (alleen wanneer je de Home Assistant-integratie hebt gekoppeld).
Integratie-tokens: versleutelde access- en refresh-tokens van Frank Energie, Tibber, Zonneplan e.d. — alleen wanneer je die integratie zelf koppelt.
API-keys: gehashte sleutels die je zelf genereert om je P1-data via Bearer-auth te pushen.

Wachtwoorden worden uitsluitend opgeslagen als bcrypt-hashes (12 rondes). MFA-secrets en integratie-tokens worden versleuteld met onze applicatie-encryptiesleutel.

3. Doelen en grondslagen

We verwerken je gegevens voor de volgende doelen, met telkens een specifieke wettelijke grondslag:

Uitvoering van de dienst (account, verbruiksinzicht, leveranciers-vergelijking) — grondslag: uitvoering van de overeenkomst (Art. 6 lid 1 sub b AVG).
Beveiliging en fraudepreventie (audit-log, MFA, rate-limiting) — grondslag: gerechtvaardigd belang (Art. 6 lid 1 sub f).
Communicatie (transactionele e-mails over verificatie, wachtwoord-reset, magic-link) — grondslag: uitvoering van de overeenkomst.
Wettelijke verplichtingen (administratie, indien van toepassing) — grondslag: wettelijke verplichting (Art. 6 lid 1 sub c).

We verwerken geen bijzondere persoonsgegevens (gezondheid, religie, e.d.) en passen geen geautomatiseerde besluitvorming met juridische gevolgen toe.

4. Met wie we gegevens delen

SlimHuys schakelt onderstaande verwerkers in. Met elk hebben we (of sluiten we) een verwerkersovereenkomst conform Art. 28 AVG:

Hetzner Online GmbH (Helsinki, Finland) — hosting van de applicatie en database. Gegevens blijven binnen de EU/EER.
Lettermint (Nederland, EU) — voor het versturen van transactionele e-mails (verificatie, magic-link, wachtwoord-reset). Lettermint verwerkt enkel het e-mailadres en de mail-inhoud die we via hun API versturen. Gegevens blijven binnen de EU/EER.
ENTSO-E (Transparency Platform) — bron van publieke EPEX day-ahead-prijzen. Hier delen wij geen persoonsgegevens; we ontvangen alleen tarief-data.
Plausible Analytics (Plausible Insights OÜ, Estland) — privacy-vriendelijke website-statistieken. Plausible verwerkt geen persoonsgegevens, gebruikt geen cookies en logt geen IP-adressen permanent (alleen voor 24u-bot-filtering). EU-only verwerking onder GDPR.

Daarnaast koppel je zelf integraties met derden zoals Frank Energie, Tibber of Zonneplan. We slaan dan alleen de access-tokens versleuteld op; je kunt de koppeling op elk moment intrekken via je accountpagina.

Wij verkopen je gegevens nooit aan derden en gebruiken ze niet voor advertenties.

5. Doorgifte buiten de EU

Alle verwerking blijft binnen de Europese Unie — de servers staan bij Hetzner in Helsinki (Finland), transactionele e-mails lopen via Lettermint (Nederland), website-statistieken via Plausible (Estland). We doen geen doorgifte naar de Verenigde Staten of andere derde landen.

Mochten we in de toekomst toch een verwerker buiten de EU inschakelen, dan zorgen we vooraf voor passende waarborgen conform Art. 45/46 AVG en passen we deze verklaring vooraf aan.

6. Bewaartermijnen

Account-data: zolang je account actief is. Na verwijdering: maximaal 30 dagen in back-ups, daarna definitief weg.
Audit-log: 365 dagen, daarna geanonimiseerd of verwijderd.
Sessie-cookies: 120 minuten van inactiviteit, daarna lopen ze af. Je kunt actieve sessies beheren via Account → Sessies.
P1-verbruiksdata: zolang je account actief is. Op verzoek per maand verwijderbaar.
Magic-link-tokens en wachtwoord-reset-tokens: 15 minuten respectievelijk 1 uur, daarna verlopen.

7. Cookies en lokale opslag

SlimHuys gebruikt alleen technisch noodzakelijke cookies en localStorage-opslag voor de werking van de site. Geen tracking-cookies, geen advertentie-cookies. Voor anonieme bezoekersstatistieken gebruiken we Plausible Analytics — een GDPR-compliant alternatief dat geen cookies plaatst en geen persoonsgegevens verzamelt.

laravel_session — anonieme sessie-cookie (HttpOnly, SameSite=Lax). Nodig om je ingelogd te houden.
XSRF-TOKEN — beschermt tegen Cross-Site Request Forgery bij formulier-acties.
localStorage.slimhuys.public_supplier en slimhuys.supplier — onthouden welke leverancier je voor de tarief-vergelijker hebt gekozen. Lokaal opgeslagen, blijft binnen je browser.

Omdat dit allemaal functionele cookies/opslag zijn, hoeven we geen cookie-banner te tonen. Je kunt ze altijd verwijderen via je browser-instellingen.

8. Je rechten onder de AVG

Je hebt het recht om:

Inzien welke gegevens we van je hebben (zie ook /app/account voor de directe inzage).
Corrigeren of aanvullen.
Verwijderen ("recht op vergetelheid").
Beperken van de verwerking.
Bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.
Dataportabiliteit — je verbruiksdata in een machineleesbaar formaat ontvangen.
Klacht indienen bij de Autoriteit Persoonsgegevens wanneer je vindt dat we de AVG niet naleven.

Mail je verzoek naar info@slimhuys.nl met onderwerp "Privacy". We reageren binnen 30 dagen.

9. Beveiliging

HTTPS verplicht, met HSTS (max-age 1 jaar, includeSubDomains, preload).
Wachtwoorden gehasht met bcrypt (12 rondes).
Multi-factor authenticatie beschikbaar voor je account.
Sessie-rotatie bij wachtwoord-wijziging; alle andere sessies vervallen automatisch.
Rate-limiting op login- en MFA-endpoints.
Audit-log van gevoelige acties.
Database back-ups dagelijks, encrypted at rest.

10. Wijzigingen aan deze verklaring

SlimHuys mag deze privacyverklaring wijzigen. De laatste versie staat altijd op slimhuys.nl/privacy; ingrijpende wijzigingen melden we ook per e-mail aan ingelogde gebruikers.

Laatst bijgewerkt: 3 mei 2026.